Не стал в заметке про законопроект Минкомсвязи про облака поднимать и эту тему, решив вынести ее отдельно. Заметка будет короткой. Помимо вопроса урегулирования применения облаков в государственных и муниципальных предприятиях, законопроект Минкомсвязи вносит небольшое изменение и в закон "О персональных данных", а точнее в ч.4 ст.12 про трансграничную передачу ПДн.
Согласно поправке, одним (шестым) из условий передачи ПДн в страны, не обеспечивающие адекватной защиты прав субъектов ПДн, является "обеспечение условиями договора гарантий защиты прав субъектов персональных данных". Иными словами, теперь в договоре между облачным провайдером и потребителем необходимо прописывать условия обработки ПДн (в соответствие с нашим ФЗ-152) и это станет (я надеюсь) достаточным условием для трансграничной передачи ПДн.
Что характерно, данная норма поможет не только облачным провайдерам, но и многим другим операторам ПДн, которые до сих пор мучаются вопросом о том, как урегулировать вопрос выполнения ФЗ-152 при передаче ПДн за пределы РФ (операторы связи, банки, иностранные работодатели, турагенства, авиакомпании, логистические компании и т.п.). На мой взгляд, такая поправка сильно облегчит жизнь и не потребует теперь получать согласие субъекта на обработку его ПДн в каждой стране, с которой у оператора установлены взаимоотношения. Проблема даже не в самом согласии, а в том, что оператор до конца не всегда сам знает, в какой стране ведется обработка ПДн (для облаков это очень актуально). Предлагаемая поправка призвана решить эту проблему.
Согласно поправке, одним (шестым) из условий передачи ПДн в страны, не обеспечивающие адекватной защиты прав субъектов ПДн, является "обеспечение условиями договора гарантий защиты прав субъектов персональных данных". Иными словами, теперь в договоре между облачным провайдером и потребителем необходимо прописывать условия обработки ПДн (в соответствие с нашим ФЗ-152) и это станет (я надеюсь) достаточным условием для трансграничной передачи ПДн.
Что характерно, данная норма поможет не только облачным провайдерам, но и многим другим операторам ПДн, которые до сих пор мучаются вопросом о том, как урегулировать вопрос выполнения ФЗ-152 при передаче ПДн за пределы РФ (операторы связи, банки, иностранные работодатели, турагенства, авиакомпании, логистические компании и т.п.). На мой взгляд, такая поправка сильно облегчит жизнь и не потребует теперь получать согласие субъекта на обработку его ПДн в каждой стране, с которой у оператора установлены взаимоотношения. Проблема даже не в самом согласии, а в том, что оператор до конца не всегда сам знает, в какой стране ведется обработка ПДн (для облаков это очень актуально). Предлагаемая поправка призвана решить эту проблему.
Алексей! Поправка действительно ответит на часть вопросов по трансграничке, только имеются все же сомнения, что согласия от субъекта ПДн брать не потребуется. Нынешняя редакции 152-ФЗ того требует. В прошлом году планировались поправки в Закон, где был пункт 4. : Договор, заключённый между оператором и субъектом ПДн, означает в том числе согласие субъекта ПДн на поручение оператором обработки ПДн обработчику В ЦЕЛЯХ ИСПОЛНЕНИЯ ДОГОВОРА. Однако законопроект не дошёл до своей финальной фазы. Можешь все же пояснить, почему ты считаешь, что брать согласия не потребуется, если обсуждаемый законопроект Минкомсвязи получит путёвку в жизнь?
ОтветитьУдалитьНу логика следующая. ч.4 ст.12 перечисляет 5 случаев (с законопроектом 6), по которым возможна передача в "неадекватные" страны. Первым там стоит "письменное согласие". Я делаю вывод, что явное согласие - это одно из возможных условий передачи. Есть и еще 5, среди которых наличие договора.
ОтветитьУдалить